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(54) Title: COMMUNICATIONS CONTROL UNIT AND INFORMATION TRANSMISSION PROCESS 

(54)Bezeichnung: KOMMUNIKATIONSKONTROLLEINHEIT UND VERFAHREN ZUR OBERMITTLUNG VON 
NACHRICHTEN 

(57) Abstract 

A communications control unit and a process for transmitting infor- 
mation within a distributed real-time computer architecture, consisting of a 
plurality of error-tolerant units in which the information to be transmitted 
consists of a control field (K), a data field (D) and a CRC (cyclic-redun- 
dancy check) field (CRC). The CRC field consists of standard information 
from the concatenation of the control field (K), the data field (D) and a lo- 
cal internal status of a transmitting communications control unit. The local 
internal status of such a control unit is provided by the combination of the 

overall time with a peer field in which to each error-tolerant unit is allocated a given bit, the TRUE status of which indicates cor- 
rect operation and the FALSE status of which indicates an error status, so that a receiving communications control unit can, by 
testing an incoming item of data, recognise both incorrect information and a difference between the internal statuses of the trans- 
mitting and receiving communications control unit. 

(57) Zusammenfassung 

Eine Kommunikationskontrolleinheit und ein Verfahren zur Obermittlung von Nachrichten innerhalb einer verteilten 
Echtzeit- Computerarchitektur, bestehehd aus einer Mehrzahl Fehlertoleranter Einheiten, bei welchem die zu ubertragenden 
Nachrichten aus einem Kontrollfeld (K), einem Datenfeld (D) und einem CRC (Cyclic- Redundancy Check) Feld (CRC) zusam- 
mengesetzt sind, wobei das CRC-Feld von Standardnachrichten aus der Verkettung des Kontrollfeldes (K), des Datenfeldes (D) 
und eines lokalen inneren Zustandes einer sendenden Kommunikationskontrolleinheit gebildet wird und sich der lokale innere 
Zustand einer solchen Kontrolleinheit aus der Verbindung der globalen Zeit mit einem Mitgliedsfeld ergibt, in welchem jeder 
Fehlertoleranten Einheit ein bestimmtes Bit zugeordnet ist, dessen Zustand WAHR die Funktionstflchtigkeit und dessen Zustand 
FALSCH einen Fehlerzustand anzeigt, sodaft eine empfangende Kommunikationskontrolleinheit durch Oberprufung einer ein- 
langenden Nachricht sowohl eine fehlerhafte Nachricht, als auch ein Abweichen der inneren Zustande der sendenden und emp- 
fangenden Kommunikationskontrolleinheit erkennen kann. 



BEST AVAILARl c co p y 



LEDIGUCH ZUR INFORMATION 



Code, die zur Identifizierung von PCT-Vertragsstaaten auf den KopfbSgen der Schriften, die 
Internationale Anmeldungen gemass dem PCT veroffentlichen. 



AT 



BF 

BG 

BJ 

BR 

BY 

CA 

CF 

CC 

CH 

CI 

CM 

CN 

CS 

CZ 

OE 

DK 



Oslerrcich PI 

Australicn PR 

Barbados CA 

BeJgien CB 

Burkina Faso CN 

Buigaricn CR 

Benin HU 

Brasilien IE 

Belarus IT 

Kanada JP 

Zentralc Afrikanbche Republik KP 

Kongo KB 

Schweiz KZ 

Cdtc d'Woire LI 

Kamcrun LK 

China LU 

Tschcchoslowakci LV 

Tschcchischcn Republik MC 

Deulschtand MC 

Dancmark ML 

Spanicn MN 



Finn land 

Frankrcich 

Gabon 

Vercinigtes Konigrcich 

Guinea 

G rice hen land 

Ungarn 

Irland 

Italicn 

Japan 

Oemokratische Volksrepublik Korea 

Republik Korea 

Kasachstan 

Liechtenstein 

Sri Lanka 

Luxemburg 

Lcltland 

Monaco 



Mali 
Mongolei 



MR 

MW 

NE 

NL 

NO 

NZ 

PL 

FT 

RO 

RU 

SD 

SE 

SI 

SK 

SN 

TD 

TC 

UA 

US 

UZ 

VN 



Maurilanien 

Malawi 

Niger 

Niederlande 



Neusceland 
Polen 
Portugal 



Russische Federation 

Sudan 

Schweden 

Slowenlen 

Slowakischen Republik 

Senegal 

Tschad 

Togo 

Ukraine 

Vcruinigtc Staatcn von Amerika 



Vietnam 



WO 94/06080 



PCT/AT93/00138 



KOMMUWKATIONSKONTROLLEINHEIT UND VERFAHREN ZUR 
5 UBERMTITLUNG VON Nachrichten 

Die Erfindung bezieht sich auf eine KommunikationskontroUeinhek und ein Verfahren zur 
Obermittlung von Nachrichten innerhalb einer verteilten Echtzrit-Computerarchitektur mit 

10 einer gemeinsamen globalen Zeitbasis, bestehend aus einer Mehrzahl Fehlertoleranter 
Einheiten, welche zumindest je einen fail-silent Computer und je Computer eine 
Kommunikationskontrolleinheit mit zumindest einem Kommunikationsport aufweisen, 
wobei jede Fehlertolerante Einheit uber zumindest einen Kommunikationskanal mit jeder 
anderen Fehlertoleranten Einheit verbunden ist und der ZugrifF auf den zumindest einen 

15 Kommunikationskanal durch ein statisches, von der gemeinsamen globalen Zeitbasis ab- 
geleitetes zyklisches Zeitscheibenverfahren erfolgt. 

Die oben genannte, bekannte Computerarchitektur besteht aus einer Anzahl von global 
synchronisierten fail-silent Computern, die in Fehlertolerante Einheiten zusammengefafit 

20 sind und uber ein Broadcastkommunikationssystem Nachrichten austauschen, wobei eine 
Fehlertolerante Einheit aus zumindest einem fail-silent Computer besteht und jeder 
Computer eine Kommunikationskontrolleinheit mit mindestens einem Kommunikationsport 
besitzt. Um den Ausfall eines Computers tolerieren zu konnen sind haufig zwei aktive 
Computer, die quasisynchron dieselben ZustandsQbergange vollziehen, zu einer 

25 Fehlertoleranten Einheit zusammengefaBt. Das Kommunikationssystem kann z.B. durch 
den Einsatz von zwei parallelen Kommunikationskanalen redundant ausgelegt sein, wobei 
jeder Computer iiber zwei Kommunikationsports der Kommunikationskontrolleinheit an je 
einen Kanal des Broadcastkommunikationssystems angeschlossen ist. Um auch das 
Auftreten von hohen transienten Fehlerraten zu beherrschen, kann eine Fehlertolerante 

30 Einheit (FTE) neben den beiden aktiv redundanten Computern auch noch einen 
Schattencomputer beinhalten. Eine solche Architektur ist in Kopetz, H., Kantz, H, 
Griinsteidl, G, Puschner P, und Reisinger, J, "Tolerating Transient Faults in MARS", Proc. 
20th int. Symposium on Fault-Tolerant Computing, IEEE Press, pp., 466 - 473, Juni 1990, 
genau beschrieben. 

35 

Die Ubennittlung der Nachrichten erfolgt uber ein Verfahren, bei welchem die Zugriffs- 
berechtigung auf die Kommunikationskanale nach einem statischen Zeitscheibenverfehren 
von der globalen Zeit abgeleitet wird, sodafi jede Kommunikationskontrolleinheit a priori 
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weiB, wann eine andere Kommunikationskontrolleinheit eine Nachricht zu senden hat. Jede 
Kommunikationskontrolleinheit verfiigt daher iiber eine lokale Echtzeituhr, die mit alien 
anderen Kommunikationskontrolleinheiten innerhalb einer gegebenen Synchronisations- 
genauigkeit synchronisiert ist. Ein Verfahren zur Synchronisation der Uhren der 
5 Kommunikationskontrolleinheit ist in Kopetz, R, und Ochsenreiter, W., Clock Synchroni- 
sation in Distributed Real-Time Systems, IEEE Transactions on Computers, vol c-36, pp. 
933 - 940, August 1987, genau beschrieben. 

Eine fehlertolerante Echtzeit-Computerarchitektur mufi alle Fehlerfalle, die in der 
10 Fehlerhypothese spezifiziert sind, nachweislich beherrschen. Zu diesem Zweck sind vom 
Kommunikationssystem folgende Aufgaben zu erfullen: 

(1) Rechtzeitiger und sicherer Nachrichtenaustausch zwischen den Computern unter 
Einhaltung der spezifizierten Zeitbedingungen, auch im Fehlerfall. 
15 (2) Erkennung von transienten und permanenten Nachrichtenverlusten. 

(3) Konsistente Erkennung vom Computerausfallen. 

(4) Verteiltes Redundanzmanagement, d.h. konsistentes Abschalten von fehlerhaften 
Computern und Zuschalten von reparierten Computern. 

(5) Synchronisation der lokalen Uhren. 
20 (6) Schnelle Reaktion in Notsituationen. 

Weiters sollen in einem Echtzeitkommunikationssystem die Nachrichtenlange und die 
Anzahl der Verwaltungsnachrichten moglichst gering sein, urn bei einer gegebenen 
Bandbreite des Kommunikationskanais eine schnelle Reaktion des Systems zu 
25 unterstutzen. Eine kurze Nachrichtenlange und eine geringe Zahl von 
Verwaltungsnachrichten ist bei schnellen zeitkritischen Prozessen, z.B. in der Automobil- 
oder Flugzeugelektronik, von groBer wirtschaftlicher Bedeutung, da eine Erhohung der 
Bandbreite hohe Kosten verursacht. 

30 GemaB dem Stand der Technik werden die beschriebenen Aufgaben auf unterschiedlichen 
Ebenen - in Hardware und/oder Software - realisiert, wobei eine Vielzahl zusatzlicher Ver- 
waltungsnachrichten uber das Kommunikationssystem zu transportieren ist. Solche 
Verfahren zur Nachrichtenubermittlung sind beispielsweise unter der Bezeichnung J1850, 
CAN und Token Slot Network bekannt geworden (1992 SAE Handbook, Vol, pp. 

35 20.301-20.302, Society of Automotive Engineers, 400 Commonwealth Drive, Warrendale, 
Pa, USA). 
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Die Erfindung zielt darauf ab, die vorliegenden Aufgaben durch ein integrities Verfahren 
in der Hardware der Kommunikationskontrolleinheit zu realisieren, wobei durch 
Auswertung der a priori Informationen uber das Zeitverhalten und der laufenden 
Information uber das Betriebsverhalten des Kommunikationssystems die Anzahl der 
5 Verwaltungsnachrichten und die Nachrichtenlange wesentlich reduziert werden konnen. 

Diese Aufgaben werden erfindungsgemaB durch *ine Kommunikationseinheit und ein Ver- 
fahren zur Ubertragung von Nachrichten gelost, bei welchem die zu ubertragenden Nach- 
richten aus einem Kotrollfeld, einem Datenfeld und einem CRC (Cyclic Redundancy 

10 Check) Feld zusammengesetzt sind, wobei das CRC-Feld von Standardnachrichten, welche 
durch ein bestimmtes Bit des Kontrollfeldes gekennzeichnet sind, aus der Verkettung des 
Kontrollfeldes, des Datenfeldes und eines lokalen inneren Zustandes einer sendenden 
Kommunikationskontrolleinheit gebildet wird und sich der lokale innere Zustand einer 
solchen Kontrolleinheit aus der Verbindung der globalen Zeit mit einem Mitgliedsfeld 

15 ergibt, in welchem jeder Fehlertoleranten Einheit ein bestimmtes Bit zugeordnet ist, dessen 
. Zustand WAHR die Funktionstuchtigkeit und dessen Zustand FALSCH einen 
Fehlerzustand dieser Fehlertoleranten Einheit anzeigt, sodaG eine empfangende 
Kommunikationskontrolleinheit durch Uberprufung einer einlangenden Nachricht sowohl 
eine fehlerhafte Nachricht als auch ein Abweichen der inneren Zustande der sendenden und 

20 empfangenden Kommunikationskontrolleinheit erkennen kann. 

Weitere Vorteile und Merkmale der Erfindung ergeben sich aus den abhangigen Unter- 
ansprtichen und der folgenden Beschreibung eines Ausfiihrungsbeispiels der Erfindung, 
welche sich auf die beiliegenden Figuren bezieht, die zeigen: 

25 

Figur 1 eine schematische Darstellung einer Fehlertoleranten Echtzeit- 
Computerarchitektur zur Ubertragung von Nachrichten, 

Figur 2 eine schematische Darstellung des Datenformates der zu ubertragenden 
30 Nachrichten. 

Die Erfindung soli nun anhand des in Figur 1 und 2 dargestellten Ausfiihrungsbeispiels 
naher erlautert werden. In diesem Beispiel soli der Ausfall einer Nachricht je Ubertragung 
einer Fehlertoleranten Einheit oder der permanente Ausfall einer Kommunikationskontroll- 
35 einheit je Fehlertolerante Einheit oder der Ausfall eines kompletten Kommunikationskanals 
toleriert werden, d.h. es gibt in diesem Beispiel keine Baueinheit, deren Ausfall nicht tole- 
riert wird. Weiters soil in diesem Beispiel zusatzlich zu den zitierten Ausfallen auch noch 
ein zweiter permanenter oder transienter Fehler durch den Einsatz eines Schatten- 
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computers toleriert werden. Falls der Ausfall mehrerer Nachrichten toleriert werden soil, 
so sind die Nachrichten mehrfach zu senden. 

Es sei die in Fig. 1 angefuhrten Konfiguration mit 4 Fehlertoleranten Einheiten YTE\ 
5 FTE2 FTE3 FTE4 mit jeweils zwei aktiven Computern ACi a , AC]b, AC2* AC2b> AC3 a , 
AC3b, AC 4a> AC 4b und J e einem Schattencomputer SC], SC 2 , SC3, SC 4 gegeben. Jede 
Kommunikationskontrolleinheit KE ]a , KEjb, KEi c , KE 2a , KE2b, KE20 KE 3a , KE 3 b, 
KE3 C , KE4 a , KE4b, KE4 C ist uber zwei Kommunikationskanale KK], KK 2 mit jeder 
anderen Kommunikationskontrolleinheit verbunden und verfiigt uber eine lokale 

10 Echtzeituhr, die mit alien anderen Kommunikationskontrolleinheiten innerhalb einer 
gegebenen Synchronisationsgenauigkeit synchronisiert ist. Die ZugrifFsberechtigung auf 
die redundanten Kommunikationskanale KKj, KK2 wird nach einem statischen 
Zeitscheibenverfahren von der globalen Zeit abgeleitet. Das Zeitintervall, wahrend dem 
jede Fehlertolerante Einheit FTEj FTE2 FTE3 FTE4 mindestens einmal eine 

1 5 Sendezeitscheibe erhalten hat, bezeichnet man als Ubertragungsrunde. 

Da die Sendezeitpunkte jeder Nachricht a priori bekannt sind, kann in dieser neuen 
Kommunikationsarchitektur auch auf den Transport des Nachrichtennamens in der 
Nachricht verzichtet werden. Der Empfanger ist in der Lage aufgrund des 
20 Empfangszeitpunktes den Nachrichtennamen zu rekonstruieren. Dadurch ergibt sich eine 
wesentliche Reduktion der Nachrichtenlange. 

In der folgenden Beschreibung werden die Indizes 1, 2, 3, 4 zur Unterscheidung der 
einzelnen Fehlertoleranten Einheiten FTE der Ubersicht halber weggelassen, da diese 
25 Einheiten im wesentlichen gleich aufgebaut sind. 

Jede Kommunikationskontrolleinheit KE verfiigt uber einen inneren Zustand, der sich im 
konkreten Beispiel aus dem globalen Zeitfeld und einem 4 Bit langen Mitgliedsfeld 
zusammensetzt. Jedem der vier Fehlertoleranten Einheiten FTE ist ein bestimmtes Bit in 
30 diesem Mitgliedsfeld zugeordnet, dessen Zustand WAHR die Funktionstiichtigkeit und 
dessen Zustand FALSCH einen Fehlerzustand dieser Fehlertoleranten Einheit FTE aus der 
Sicht der betrachtenden Kommunikationskontrolleinheit KE zum Zeitpunkt der letzten 
global bekannten Sendezeitscheibe dieser Fehlertoleranten Einheit FTE darstellt. 

35 Bei dem erfindungsgemafien Verfahren wird prinzipiell zwischen zwei Nachrichtenarten 
unterschieden, den Initialisierungsnachrichten und den Standardnachrichten. Beide 
Nachrichtenarten beinhalten ein Kontrollfeld K, ein Datenfeld D und ein CRC (Cyclic 
Redundancy Check) Feld. Das Nachrichtenformat fur das konkrete Ausfiihrungsbeispiel ist 
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in Fig. 2 dargestellt. Das Kontrollfeld K hat eine Lange von 1 Byte. Das erste Bit des 
Kontrollfelds ist das Initialisierungsbit 1. Die nachsten drei Bits sind die 
Betriebs&nderungsbits B und die letzten vier Bits des Kontrollfelds sind Quittungsbits Q. 
Das Datenfeld D hat eine Lange von 8 Byte. Das CRC Feld hat eine Lange von 2 Byte. 

5 

Bei Initialiserungsnachrichten, die durch den Wert WAHR im ersten Bit I des Kontrollfelds 
gekennzeichnet sind und die im Datenfeld D den inneren Zustand der sendenden 
Kommunikationskontrolleinheit enthalten, wird der Inhalt des CRC Felds nach einem be- 
kannten Verfahren (CCITT Standard: Data Transmission over the Telephone Network, 

10 Series V Recommendations, Session V41, The Orange Book, VIII. 1, International 
Telecommunications Union, Geneva, 1977) uber die Verkettung von Kontrollfeld K und 
Datenfeld D gebildet. Die Initialisierungsnachrichten werden zur Initialisierung des 
Systems und zur Reintegration von reparierten Computern bendtigt. Im normalen Betrieb 
ist das Senden von Initialisierungsnachrichten nicht erforderlich. Die 

15 Initialisierungsnachrichten konnen im Hintergrund ubertragen werden, wenn keine anderen 
. Nachrichten zu senden sind. 

Bei Standardnachrichten, die durch den Wert FALSCH im ersten Bit I des Kontrollfelds K 
gekennzeichnet sind, wird der Inhalt des CRC Felds bei der sendenden Kommunikations- 

20 kontrolleinheit KE erfindungsgemaB uber die Verkettung von Kontrollfeld K, Datenfeld D 
und dem lokalen inneren Zustand des Senders gebildet. Die empfangende 
Kommunikationskontrolleinheit KE kann durch die CRC-Uberpriifung der Verkettung der 
ankommenden Nachricht mit ihrem lokalen inneren Zustand eine fehlerhafte Nachricht 
oder ein Abweichen der inneren Zustande von Empfanger und Sender erkennen. Urn diese 

25 Zustandsgleichheit schnell, d.i. vor dem Senden der nachsten Nachricht, uberpriifen zu 
konnen, ist das beschriebene CRC Verfahren vorteilhaft in der Hardware ausgefuhrt. 
ErfindungsgemaB kann durch diese Innovation die Gleichheit der Zustande zwischen 
Sender und Empfanger (damit wird eine indirekte Bestatigung des Nachrichtenempfangs 
realisiert) festgestellt werden, ohne die Zustandsinformation selbst in der Nachricht 

30 ubertragen zu miissen. Dadurch ergibt sich in vorteilhafter Weise eine signifikante 
Reduktion der Nachrichtenlange. 

Bei einem weiteren, hier nicht naher erlauterten, Ausfiihrungsbeispiel kann es vorteilhaft 
sein, den inneren Zustand durch zusatzliche Informationen, wie z.B. den momentanen 
35 Betriebszustand oder kryptographische Informationen, zu erganzen, um auch die 
Gleichheit dieser zusatzlichen Informationen beim Sender und Empfanger durch das 
beschriebene innovative Verfahren uberpriifen zu konnen. Verschiedenen 
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Betriebszustanden konnen unterschiedliche Nachrichtenformate und unterschiedliche 
Ubertragungsrunden zugeordnet werden. 

Wenn im Bit I, das zur Unterscheidung von Initialisierungsnachrichten und Standard- 
5 nachrichten dient, ein Fehler auftritt, so wird durch die beschriebene Erfindung im Rahmen 
der CRC Uberpriifung diese Nachricht als fehlerhaft erkannt und verworfen. 

Eine empfangende Kommunikationskontrolleinheit KE kennzeichnet eine Fehlertolerante 
Einheit FTE in ihrem Mitgliedsfeld als fehlerhaft, wenn in der a priori bekannten 

10 Zeitscheibe dieser Fehlertoleranten Einheit FTE keine der envarteten Nachrichten dieser 
Fehlertoleranten Einheit FTE mit korrektem CRC Feld bei der empfangenden 
Kommunikationskontrolleinheit KE eintriflt Aufgnind des a priori Wissens uber die 
Zeitscheiben des Senders kann der Empfanger zwei verschiedene Fehlerarten 
unterscheiden: keine Nachricht wurde empfangen oder eine Nachricht mit einem falschen 

15 Inhalt (fehlerhafter CRC check) wurde empfangen. Der Empfanger zahlt mittels eines 
CRC-Fehlerzahlers die seit seinem letzten Sendezeitpunkt empfangenen Nachrichten mit 
fehlerhaften CRC. Die seit seinem letzten Sendezeitpunkt empfangenen richtigen 
Nachrichten zahlt der Empfanger in einem OK-Zahler. 

20 Der entsprechend seinem lokalen Mitgliedsfeld erste aktive Nachfolger der sendenden 
Fehlertoleranten Einheit FTE quittiert in seinem Kontrollfeld die korrekt empfangenen 
Nachrichten der vorausgegangenen Fehlertoleranten Einheit FTE. 

Unmittelbar vor dem Senden entscheidet eine Kommunikationskontrolleinheit, ob ihre 
25 Funktion fehlerhaft ist. Eine Kommunikationskontrolleinheit KE betrachtet sich dann als 
fehlerhaft, wenn 

(1) einer ihrer Fehlererkennungsmechanismen einen Fehler anzeigt oder 

(2) keine ihrer Nachrichten, die sie in ihrer letzten FTE Zeitscheibe gesendet hat, von 
30 einer der Kommunikationskontrolleinheiten KE der nachfolgenden Fehlertoleranten 

Einheit FTE quittiert wurde, oder 

(3) der Inhalt ihres OK-Zahlers kleiner ist als der Inhalt ihres CRC-Fehlerzahlers. 

Wenn sich eine Kommunikationskontrolleinheit KE als fehlerhaft einstuft, so sendet sie 
35 keine Nachricht, geht in einen Fehlerbehandlungszustand iiber und initialisiert einen 
Wiederanlauf. 
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Das beschriebene Verfahren funktioniert auch, wenn eine Kommunikationskontrolleinheit 
KE innerhalb einer Ubertragungsrunde mehrfach aufscheint. 

Die Kommunikationskontrolleinheit KE eines Schattencomputers SC erkennt aufgrund des 
5 Ausbleibens der Nachrichten der aktiven Computer AC ihrer Fehlertoleranten Einheit 
FTE,. dafi diese Computer ausgefallen sind. In einem solchen Fall ubernimmt die 
Kommunikationskontrolleinheit KE des Schattencomputers SC die Sendezeitscheibe des 
ausgefallenen Computers, urn die Redundanz kurzfristig wieder herzustellen. 

10 Aus dem Zeitintervall zwischen dem envarteten und tatsachlichen Eintreffen einer 
Nachricht kann die Differenz der Uhrenstande zwischen Sender und Empfanger vom 
Empfanger berechnet werden. ErfindungsgemaB ist in diesem Kommunikationssystem kein 
expliziter Nachrichtenaustausch zur Uhrensynchronisation erforderlich. Dies fiihrt zu einer 
wesentlichen Reduktion der Nachrichtenzahl. 

15 

Eine schnelle Reaktion bei Auftreten einer Notsituation wird erfindungsgemaB durch die 
Bereitstellung einer Anzahl von Betriebszustandsanderungsbits B im Kontrollfeld K jeder 
Nachricht realisiert. Im vorliegenden Beispiel sind drei solche 
Betriebszustandsandeningsbits B vorgesehen. Wenn eine Kommunikationskontrolleinheit 
20 KE eine schnelle Betriebszustandsanderung signalisieren muB, so kann sie das 
entsprechende Betriebszustandsanderungsbit B setzen. Spatestens innerhalb der nachsten 
Ubertragungsrunde konnen dann alle anderen Computer auf die Betriebszustandsanderung 
reagieren. 

25 Durch die beschriebene Erfindung kann die Effizienz der Kommunikation in 
Echtzeitsystemen wesentlich verbessen werden. Vergleicht man dieses innovative 
Verfahren mit den in der Literatur veroffentlichten Verfahren (1992 SAE Handbook, Vol, 
pp. 20.301-20.302, Society of Automotive Engineers, 400 Commonwealth Drive, 
Warrendale, Pa, USA), so ergibt sich gegenuber den bisher bekannten Verfahren J 1850, 

30 CAN und Token Slot Network eine Ausweitung der Dienste und eine Verbesserung der 
Antwortzeiten urn mehr als 50 %. 

Zusammenfassend sei festgehalten, daB die folgenden innovativen Merkmale dieser 
Erfindung zu einer wesentlichen Reduktion der Nachrichtenlange und der Nachrichtenzahl 
35 in einem Kommunikationssystem fur eine Fehlertolerante verteilte Echtzeit- 
Computerarchitektur flihren: 
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(1) Die Feststellung der Zustandsgleichheit zwischen Sender und Empfanger ohne 
Ubertragung der Zustandsinformation durch Einbeziehung der Zustandsinformation 
in die CRC Berechnung. 

(2) Die Elimination der Quittungsnachrichten durch Einfiihrung eines kurzen 
5 Quittungsfeldes in jeder Nachricht. 

(3) Die implizite Synchronisation der Uhren ohne Ubertragung von Synchronisations- 
nachrichten. 

(4) Die Ableitung des Nachrichtennamens aus den a priori bekannten Sende- und 
Empfangszeitpunkten einer Nachricht ohne den Nachrichtennamen explizit 

10 ubertragen zu mussen. 

(5) Die Bereitstellung eines Betriebszustandsanderungsfeldes in jeder Nachricht, um 
auf wichtige Betriebszustandsanderungen ohne zusatzlichen Nachrichtenaustausch 
schnell reagieren zu konnen. 

(6) Die Auswertung der Verhaltniszahl der mit richtigem und felschem CRC Feld ein- 
15 treffenden Nachrichten, um ohne expliziten Nachrichtenaustausch feststellen zu 

konnen, ob sich ein Empfanger in der Mehrheit der fiinktionierenden 
Kommunikationseinheiten befindet. 



AbschlieBend ist noch anzufuhren, daB sich die Erfindung keineswegs auf die oben 
20 beschriebene Konfiguration mit vier Fehlertoleranten Einheiten FTE beschrankt, sondern 
mit jeder beliebigen Anzahl Fehlertoleranter Einheiten implementiert werden kann. Ebenso 
ist die Konfiguration einer Fehlertoleranten Einheit nicht auf zwei aktive Computer und 
einen Schattencomputer mit je einer Kommunikationskontrolleinheit mit zwei Ports und 
das Broadcastsystem nicht auf zwei Kommunikationskanale beschrankt, sondern kann 
25 entsprechend der geforderten Redundanz vollig beliebig gewahlt werden. Insbesondere 
konnen die Kommunikationskanale auch als "on-board" oder "on-chip" Verbindungen 
ausgefuhrt sein. 
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PatentansprOche 



1. Verfahren zur Obermittlung von Nachrichten innerhalb einer verteilten Echtzeit- 
10 Computerarchitektur mit einer gemeinsamen globaien Zeitbasis, bestehend aus einer 
Mehrzahl Fehlertoleranter Einheiten (FTEj, FTE2, FTE3, FTE4X welche zumindest je 
einen fail-silent Computer (ACi a> ACifc, sc l> AC 2a> AC 2b> sc 2> AC 3a> AC 3b> sc 3> 
A C4 a , ^45, SC4) und je Computer eine Kommunikationskontrolleinheit (KEi a , KE15, 

KElo K^la* K^b* ^20 K^b* ^30 KE4b» ^c) mit zumindest 

15 einem Kommunikationsport aufweisen, wobei jede Fehlertolerante Einheit (FTEj, FTE2, 
FTE3, FTE4) uber zumindest einen Kommunikationskanal (XX 1, KK2) mit jeder anderen 
Fehlertoleranten Einheit (FTEi, FTE2, FTE3, FTE4) verbunden ist und der ZugrifF auf 
den zumindest einen Kommunikationskanal (KKj, KK2) durch ein statisches, von der 
gemeinsamen globaien Zeitbasis abgeleitetes zyklisches Zeitscheibenverfahren erfolgt, 

20 dadurch gekennzeichnet, daB die zu ubertragenden Nachrichten aus einem Kotrollfeld 
(K), einem Datenfeld (D) und einem CRC (Cyclic- Redundancy Check) Feld (CRC) 
zusammengesetzt sind, wobei das CRC-Feld von Standardnachrichten, welche durch ein 
bestimmtes Bit (I) des Kontrollfeldes (K) gekennzeichnet sind, aus der Verkettung des 
Kontrollfeldes (K), des Datenfeldes (D) und eines lokalen inneren Zustandes einer 

25 sendenden Kommunikationskontrolleinheit gebildet wird und sich der lokale innere 
Zustand einer solchen Kontrolleinheit aus der Verbindung der globaien Zeit mit einem 
Mitgliedsfeld ergibt, in welchem jeder Fehlertoleranten Einheit (FTEj, FTE2, FTE3, 
FTE4) ein bestimmtes Bit zugeordnet ist, dessen Zustand WAHR die Funktionstuchtigkeit 
und dessen Zustand FALSCH einen Fehlerzustand dieser Fehlertoleranten Einheit (FTEj, 

30 FTE2, FTE3, FTE4) anzeigt, sodaB eine empfangende Kommunikationskontrolleinheit 
durch Uberpriifung einer einlangenden Nachricht sowohl eine fehlerhafte Nachricht, als 
auch ein Abweichen der inneren Zustande der sendenden und empfangenden 
Kommunikationskontrolleinheit erkennen kann. 

35 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB die empfangende 
Kommunikationskontrolleinheit eine Fehlertolerante Einheit (FTEj, FTE2, FTE3, FTE4) 
durch Setzen des zugeordneten Bits im Mitgliedsfeld als fehlerhaft kennzeichnet, wenn im 
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Sendezeitintervall dieser Einheit keine der erwarteten Nachrichten mit einem korrekten 
CRC-Feld (CRC) eintrifft. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daO das Kontrollfeld (K) 
5 ais erstes Bit ein Initialisieningsbit () zur Unterscheidung zwischen Standard- und 

Initialisierungsnachrichten aufweist. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daB das Kontrollfeld (K) 
weiters eine Anzahl von Quittungsbits (Q) aufweist, mittels welchen der korrekte Empfang 

10 einer oder mehrerer vorangegangener Nachrichten quittiert wird, sodaB jede 
Kommunikationskontrolleinheit durch Uberpriifung des Kontrollfeldes (K) bei Empfang 
einer Nachricht feststellen kann, ob alle ihre Kommunikationsports funktioniert haben und 
weiters aufgrund des Verhaltnisses der Anzahl korrekt empfangener Nachrichten zu der 
Anzahl von Nachrichten mit CRC-Fehlern erkennen kann, ob sie sich in der Mehrheit der 

15 fiinktionierenden Kommunikationskontrolleinheiten befindet. 

5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dafi das Kontrollfeld (K) 
weiters eine Anzahl von Betriebsartenanderungsbits (B) aufweist. 

20 6. Verfahren nach einem der Ajispriiche 1 bis 4, dadurch gekennzeichnet, daB der innere 
Zustand, der bei Bildung des CRC-Feldes von Standardnachrichten eingeschlossen und 
beim Empfanger uberpruft wird, weiters ein Betriebsartenfeld umfafit. 

7. Verfahren nach einem der Anspriiche 1 bis 6, dadurch gekennzeichnet, daB der Nach- 
25 richtenname aus dem a priori festgelegten Sendezeitpunkt einer Nachricht abgeleitet wird, 

sodaB dieser nicht im Nachrichteninhalt mitgefuhrt werden muB. 

8. Verfahren nach einem der Anspriiche 1 bis 7, dadurch gekennzeichnet, daB die 
Erstellung der globalen Zeitbasis dezentral in jeder Kommunikationskontrolleinheit erfolgt, 

30 wobei die Unterschiede der Uhrenstande zwischen den Fehlertoleranten Einheiten (FTE], 
FTE2, FTE3, FTE4) aus den bekannten, statisch festgelegten Sendezeitpunkten und der 
lokalen Messung der Ankunftszeiten der erwarteten Nachrichten ermittelt werden. 

9. Kommunikationskontrolleinheit zur Ubermittlung von Nachrichten innerhalb einer 
35 verteilten Echtzeit- Computerarchitektur mit einer gemeinsamen globalen Zeitbasis, 

bestehend aus einer Mehrzahl Fehlertoleranter Einheiten (FTE], FTE2, FTE3, FTE4), 
welche zumindest je einen fail-silent Computer (AC] a , ACj^, SC], AC2 a , AC2b> SC2, 
AC3 a , AC35, ^^3» AC4 a , AC45, SC4) und je Computer eine solche 
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Kommunikationskontrolleinheit (KEi a , KEj^, KE lc , KE 2a , K^b* KE2o K^a* K E>3b> 
KE3 C , KE4 a> KE4b, KE4 C ) mit zumindest einem Kommunikationsport aufiveisen, wobei 
jede Fehlertolerante Einheit (FTEi, FTE 2 , FTE3, FTE4) uber zumindest einen 
Kommunikationskanal (KKj, KK2) mit jeder anderen Fehlertoleranten Einheit (FTEj, 
5 FTE 2 , F'EE3, FTE4) verbunden ist und der Zugriff auf den zumindest einen 
Kommunikationskanal (KKj, KK 2 ) durch ein statisches, von der gemeinsamen globalen 
Zeitbasis abgeleitetes zyklisches Zeitscheibenverfahren erfolgt, dadurch gekennzeichnet, 
dafl die Kommunikationskontrolleinheit dazu vorgesehen ist, die zu ubertragenden 
Nachrichten aus einem Kotrollfeld (K), einem Datenfeld (D) und einem CRC (Cyclic- 

10 Redundancy Check) Feld (CRC) zusammenzusetzen, wobei das CRC-Feld von Standard- 
nachrichten, welche durch ein bestimmtes Bit (I) des Kontrollfeldes (K) gekennzeichnet 
sind, aus der Verkettung des Kontrollfeldes (K), des Datenfeldes (D) und eines lokalen 
inneren Zustandes einer sendenden Kommunikationskontrolleinheit gebildet wird, und 
wobei die Kommunikationskontrolleinheit weiters dazu vorgesehen ist, ihren lokalen 

15 inneren Zustand aus der Verbindung der globalen Zeit mit einem Mitgliedsfeld zu erstellen, 
in welchem jeder Fehlertoleranten Einheit (FTEj, FTE 2 , FTE3, FTE4) ein bestimmtes Bit 
zugeordnet ist, dessen Zustand WAHR die Funktionstuchtigkeit und dessen Zustand 
FALSCH einen Fehlerzustand dieser Fehlertoleranten Einheit (FTE^ FTE 2 , FTE3, FTE4) 
anzeigt, sodaB eine empfangende Kommunikationskontrolleinheit durch Uberpriifung einer 

20 einlangenden Nachricht sowohl eine fehlerhafte Nachricht, als auch ein Abweichen der . 
inneren Zustande der sendenden und empfangenden Kommunikationskontrolleinheit 
erkennen kann. 

10. Kommunikationskontrolleinheit nach Anspruch 9, dadurch gekennzeichnet, dafi sie 
25 je einen Zahler zum Feststellen der Anzahl korrekt empfangener Nachrichten und einen 

Zahler zum Festellen der Anzahl empfangender Nachrichten mit CRC-Fehlern aufweist. 

11. Kommunikationskontrolleinheit nach Anspruch 9 oder 10, dadurch gekennzeichnet, 
dafl sie eine Logik aufweist, welche dazu geeignet ist, nach Empfang einer Nachricht eine 

30 Anderung der Betriebsart der Fehlertoleranten Einheit (FTEj, FTE 2 , FTE3, FTE4) 
herbeizufiihren. 

12. Kommunikationskontrolleinheit nach einem der Anspriiche 9 bis 1 1, dadurch gekenn- 
zeichnet, daB sie eine Logik zum Feststellen der Ankunftszeit und zum Vergleich dieser 

35 Ankunftszeitpunkte mit den a priori festgelegten Sendzeitpunkten einer Nachricht 
aufweist. 
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13. Kommunikationskontrolleinheit nach einem der Anspriiche 9 bis 12, dadurch gekenn- 
zeichnet, daO sie als Singlechip Controller oder als Teil eines Singlechip Microcomputers 
realisiert ist. 



WO 94/06080 



1/2 



PCT/AT93/00138 




ERSATZBLATT 



WO 94/06080 



PCT/AT93/00138 




ERSATZBLATT 



INTERNATIONAL SEARCH REPORT 



International application No. 
PCT/AT 93/00138 



A* CLASSIFICATION OF SUBJECT MATTER 

Int. CI. 5 GO6F11/08 GO6F11/10 GO6F11/00 
According to International Patent Classification (IPC) or to both national classification and IPC 

B. FIELDS SEARCHED 

Minimum documentation searched (classification system followed by classification symbols) 

Int. CI. 5 GQ6F HQ4L 

Documentation searched other than minimum documentation to the extent that such documents are included in the fields searched 



Electronic data base consulted during the international search (name of data base and, where practicable, search terms used) 



C DOCUMENTS CONSIDERED TO BE RELEVANT 



Category* 



Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



US, A, 4 860 006 (BARALL) 22 August 1989 
see the abstract; claim 1; fig. 2,3,5,6 

EP,A,0 033 228 (FORNEY INTERNATIONAL ) 5 
August 1981 

see the abstract; claims 1,2; fig. 5-8 



1,9 
1,9 



f J Further documents are listed in the continuation of Box C. See patent family annex. 



* Special categories of cited documents: 

"A" document defining the general stale of the art which is not considered 
to be of particular relevance 

*'E M earlier document but published on or after the international filing date 

"L" document which may throw doubts on priority claim(s) or which is 

cited to establish the publication date of another citation or other 

special reason (as specified) 

"O" documeot referring to an oral disclosure, use, exhibition or other 



M P" document published prior to the international filing date but later than 
the priority date claimed 



T later document published after the international fili ng date or priority 
date and not in conflict with the application but cited to understand 
the principle or theory underlying the invention 

"X" document of particular relevance: the claimed invention cannot be 
considered novel or cannot be considered to involve an inventive 
step when the document is taken alone 

"Y" document of particular relevance; the claimed invention cannot be 
considered to involve an inventive step when the document is 
combined with one or more other such documents, such combination 
being obvious to a person skilled io the art 

document member of the same patent family 



Date of the actual completion of the international search 
1 December 1993 (01.12.93) 


Date of mailing of the international search report 
22 December 1993 (22.12.93) 


Name and mailing address of the ISA/ 

EUROPEAN PATENT OFFICE 
Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/1SA/210 (second sheet) (July 1992) 



INTERNATIONAL SEARCH REPORT 

Uucrmaoon oo patent tatty i 



Interna' *1 Application No 

PCT/AT 93/00138 



Patent document 
died in search report 



Publication 
date 



Patent family 
roemberfs) 



Publication 
date 



US-A-4860006 



22-08-89 



EP-A-0033228 



05-08-81 



NONE 


US-A- 


4352103 


28-09-82 


US-A- 


4304001 


01-12-81 


US-A- 


4347563 


31-08-82 


US-A- 


4402082 


30-08-83 


AU-B- 


537919 


19-07-84 


AU-A- 


6656981 


30-07-81 


CA-A- 


1171543 


24-07-84 


CA-C- 


1182568 


12-02-85 


JP-A- 


56128047 


07-10-81 


CA-C- 


1182569 


12-02-85 


CA-C- 


1182572 


12-02-85 


US-A- 


4410983 


18-10-83 


CA-C- 


1182567 


12-02-85 



Form PCT/1SA/310 (pittnt fimily una) (July 19M) 



INTERNATIONALE* RECHERCHENBERICHT 



Intern* ilo Aktenzeichen 

PCT/AT 93/00138 



A. KLASSiFIZIERUNG DES AhmiE^UNGSGEGENSTANDB 

IPK 5 G06F11/08 G06FU/10 G06F11/00 



Nach der [mernanonalen Patentldagifikanon (IPK) oder nach der Mtota iOassifikanon und der IPK 



B. RECHERCHIERTE GEBtETE 



Recherchierter Mindestnrinstoff (Klassifikauonssystem und KlasafikancaTSsymbolc ) 

IPK 5 G06F H04L 



Rcchcrchicitc abcr nichtxmn Miatetpriifeoff gehorende Veroffentiicluingcn, sowiit dicse inner die recherchiertcn Gebietc fallen 



Wahrcnd der intenunonalen Recherche kcosulderte dektronische Datenhank (Name der Datenhank und evil, vcrwendete Suchbegriffc) 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kate gene* 



Bezeichnung der Veroffentb chung, sowtit erfc*demch unter Angabe der in Betracht kommenden TeUe 



Betr. Anspruch Nr. 



US.A.4 860 006 (BARALL) 22. August 1989 
siehe Zusammenfassung; Anspruch 1; 
Abbildungen 2,3,5,6 

EP.A.O 033 228 (FORNEY INTERNATIONAL) 5. 
August 1981 

siehe Zusammenfassung; Anspruche 1,2; 
Abbildungen 5-8 



1,9 



1,9 



□ 



Weitere YerdfTenthchungen and dcr Fortsetzung von Feld C zu 
entnehmen 



m 



Siehe Anhang Pattntfamilic 



• Bcsondere Kategorien von angegebenen Veroffenmchungcn 

# A* Veroffenuichung, die den allgemeincn Stand der Technik defxnicit, 
aber mcht als besonders beefcutsam anzusehen ist 

*E" Uteres Dokument, das jedoch erst am oder nach dem intemationalen 
Anmcldedatum vcrofTenUicht worden ist 

"L" VeioffenUi chung, die gceignet ist, einen Prioritatianspnxh zweifelhaft cr- 
scheinen zu Ussen, oder durch die das Verdffmdichungsctonim oner 
anderen im Rechercnenbericht genannten Veroffenuichung bdegt werden 
soil oder die aus dnem anderen besonderen Grand angegeben ist (wie 
ausgefunrt) 

'O* Veroffenuichung, die sich auf cine mundliche OOenbarung, 

eine ficnutzung, one AussteUung oder andcre Maflnahmcn bezieht 

'P* Veroffenuichung, die vor dem intemationalen Anmcldedatum, aber nach 
dem bcanspracfaten Prtoritatsdatum veroffentucht worden ist 



T Spatere Veroffenuichung, die nach dem intemationalen Anmddedatum 
o^^r dem Prion tatsdatum verdfTentlicht worden ist und nut der 
Anmeldung mcht kollidiert, soudem our zumVerstandnas des der 
Erfindung zugrundelicgenden Phnzips oder der ihr zugrundeUegenden 
Thccrie angegeben ist 

*X* VerdfTenthchung von besondercr Bedeutung; die beanspruchte Erfindung 
kann all an auf grand dieser Veroffenuichung mcht als neu oder auf 
erfindcrixener faugkeit berahend betrachtet werden 

r Y* Veroffenuichung von besondercr Bedeutung; die beanspruchte Erfindung 
kann mcht all auf erfinderischer Tangkeit berahend betrachtet 1 
werden, wenn die Veroffenuichung nut oner Oder mehrercn anderen 
Veroffenthchungen dieser Kate gone in Vertnndung gebracht wird und 
diesc Verbindung Air dnen Fachmann naheliegencT ist 

*&* Veroffenuichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschhisses der mtemanonalcn Recherche 



1. Dezeraber 1993 



Name und Postanschrift der Intenunonale Rcchcrchenbehdrde 
Euro patches Patentamt, P.B. 581 8 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. ( + 31-70) 340-2040, Tx. 31 651 cpo nl, 
Fax: ( + 31-70) 340-3016 



Absendedatum des intemationalen Recherchenbehchts 



22 IZ 53 



Bevdlmacmigtcr Bediemteter 

Sarasua Garcia, L 



ForrabUtt PCT/ ISA/3 10 (Btott3) (Juli 1993) 



INTERNATIONA LER RECHERCHENBERICHT 

Angaben zu VcrdfTcntlicftU2 v * die zur selben Patentfamilie gehoroi 



Intern tales AVfrmricfaen 

PCT/AT 93/00138 



!m Rccherchenbericht 
angefuhrtes Patemdokument 



Datum der 
Veroffentlichung 



Mitglied(er) der 
Patentfamilie 



Datum der 
Veroffentlichung 



US-A-4860006 



22-08-89 



EP-A-0033228 



05-08-81 



KEINE 


US-A- 


4352103 


28-09-82 


US-A- 


4304001 


01-12-81 


US-A- 


4347563 


31-08-82 


US-A- 


4402082 


30-08-83 


AU-B- 


537919 


19-07-84 


AU-A- 


6656981 


30-07-81 


CA-A- 


1171543 


24-07-84 


CA-C- 


1182568 


12-02-85 


JP-A- 


56128047 


07-10-81 


CA-C- 


1182569 


12-02-85 


CA-C- 


1182572 


12-02-85 


US-A- 


4410983 


18-10-83 


CA-C- 


1182567 


12-02-85 



Formblau PCT /ISA/210 (Anhtng PitantftmiliaMJuH 1993) 



This Page is inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 



BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the 
original documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 
^ BLACK BORDERS 

$ IMAGE CUT OFF AT TOP, BOTTOM OR SIDES 
^ FADED TEXT OR DRAWING 

□ BLURED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

^ COLORED OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REPERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning documents will not correct images 
problems checked, please do not report the 
problems to the IFW Image Problem Mailbox 



